公開日:2014/10/16
昨日GoogleがSSL 3.0の脆弱性を発表したと知って慌てて探した。
これのことかな?This POODLE bites: exploiting the SSL 3.0 fallback。
PDFに詳細が書いてある。うーんわからん( ゚д゚)
すごくざっくり言うとパスワードが盗まれるよ!危ないよ!てことだ。
てかプードル攻撃てかわいいじゃないか。
POODLE attack (Padding Oracle On Downgraded Legacy Encryption)だって。
もともとあまりよろしくないとされてたSSL 3.0だけど今回のは本気ぽい。
SSL通信には他にも手段があるわけで対策はSSL 3.0を無効にするだけでいいと思う。
でもレンタルサーバの場合、この部分をさわることができない(:3_ヽ)_
ドメインキングに問い合わせたところ、「全ての共有サーバにて対策を行うように作業を進めております」とのこと。現時点でまだ有効になってる。
というわけで今回はクライアントサイドでSSL 3.0を無効にする方法をメモする。
通信プロトコルの選択
SSL 3.0てのは通信プロトコルの一種。
通信プロトコルは有名なのはFTPとかHTTPとかあるけどまあ通信するための機能て考えるのが簡単だ。正確には機能ではないけど。
SSLはHTTPとは違って通信の内容が暗号化されてセキュリティ的に安全ですよてプロトコル。
セキュリティ的に安全だからパスワードを入力するログイン画面とか個人情報を入力するエントリ画面とかで使われる。
そのSSLの3.0てバージョンに今回脆弱性が見つかってニュースになってる。
SSL 3.0でやりとりした情報(例えばパスワード)が盗まれる可能性があるとのこと。
SSL通信にはSSL 3.0以外にもSSL 2.0、TLS 1.0、TLS 1.1、TLS 1.2てのがある。
SSL 3.0は使わないで他のプロトコルを使うようにすればいい。(SSL 2.0も脆弱性の問題があるので使わない。)
実際に使うプロトコルはサーバとブラウザがお互いに有効にしているものの中からサーバが選んで決定する。
このため、仮にサーバがSSL 3.0だけ有効かつブラウザのSSL 3.0が無効の場合はSSL通信ができなくなるけど滅多にないと思う。
ブラウザのチェック
ブラウザのSSL 3.0が有効になっているか無効になっているかチェックしてくれるページを見つけた。
POODLE Disabling SSL3.0 Support in Browsers。
ただアクセスするだけでOK。
SSL 3.0が有効になっている場合。警告が出る。
SSL 3.0が無効になっている場合。Good News(∩´∀`)∩
SSL 3.0を無効化する方法
さて実際に無効化する方法。
書こうと思ったらさっきのページに既に載ってた_(:3 」∠)_
Safariはわからないて言ってるね。
IEとWindows版Chromeの方法だけメモする。
IEの場合。ツール>インターネットオプション>詳細設定タブ>SSL 3.0を使用するのチェックを外す。
Chromeの場合はショートカットにパラメータを追加する。
ショートカットを右クリック>プロパティ>ショートカットタブ>リンク先の最後に「 --ssl-version-min=tls1」を追加。
設定したらもう一度チェックしてみること。
ブラウザの再起動が必要かも。
android標準のブラウザとandroid版Chromeは設定が見つからなかった。
試してないけどandroid版ChromeはコマンドラインアプリインストールしてWindows版Chromeと同じパラメータつけて起動するショートカット作ればいけそう?
MacとiPhoneは手元にないからわからない。
少し待てば国内でもたくさん記事が出るかな。期待。
プードルプードル。